Übersicht über die AD FS-Anwendungsmigration (Vorschauversion)
In diesem Artikel erfahren Sie mehr über die Funktionen des AD FS-Anwendungsmigrations-Assistenten und den Migrationsstatus, der auf dem Dashboard verfügbar ist. Außerdem lernen Sie die verschiedenen Validierungstests kennen, die die Anwendungsmigration für jede der Anwendungen generiert, die Sie von AD FS zu Microsoft Entra ID migrieren möchten.
Mit dem AD FS-Anwendungsmigrations-Assistenten können Sie schnell ermitteln, welche Ihrer Anwendungen zu Microsoft Entra ID migriert werden können. Er bewertet alle AD FS-Anwendungen auf Kompatibilität mit Microsoft Entra ID. Außerdem wird nach Problemen gesucht, und Sie erhalten Tipps zum Vorbereiten einzelner Anwendungen für die Migration und zur 1-Klick-Konfiguration einer neuen Microsoft Entra-Anwendung.
Möglichkeiten mit dem AD FS-Anwendungsmigrations-Assistenten:
AD FS-Anwendungen ermitteln und Migrationsbereich festlegen: Der AD FS-Anwendungsmigrations-Assistent listet alle AD FS-Anwendungen in Ihrer Organisation auf, bei denen in den letzten 30 Tagen eine aktive Benutzeranmeldung verzeichnet wurde. Der Bericht gibt an, ob eine App für die Migration zu Microsoft Entra ID bereit ist. Er zeigt jedoch keine Microsoft-bezogenen vertrauenden Seiten in AD FS (wie z. B. Office 365) an. Beispiel: vertrauende Parteien mit dem Namen
urn:federation:MicrosoftOnline.Anwendungen für die Migration priorisieren: Ermitteln Sie die Anzahl der verschiedenen Benutzer*innen, die sich in den letzten 1, 7 oder 30 Tagen bei der Anwendung angemeldet haben, um die Wichtigkeit oder das Risiko der Migration der Anwendung zu ermitteln.
Migrationstests ausführen und Probleme beheben: Der Berichterstellungsdienst führt automatisch Tests aus, um zu bestimmen, ob eine Anwendung für die Migration bereit ist. Die Ergebnisse werden auf dem AD FS-Anwendungsmigrationsdashboard als Migrationsstatus dargestellt. Wenn die AD FS-Konfiguration nicht mit einer Microsoft Entra-Konfiguration kompatibel ist, erhalten Sie spezifische Anweisungen zur Konfiguration in Microsoft Entra ID.
Neue Microsoft Entra-Anwendungen mit der 1-Klick-Anwendungskonfiguration konfigurieren: Nutzen Sie diese geführte Option, um lokale Anwendungen der vertrauenden Seite zur Cloud zu migrieren. Die Migrationsoption verwendet die Metadaten der vertrauenden Seite, die direkt aus Ihrer lokalen Umgebung importiert werden. Auch die 1-Klick-Konfiguration von SAML-Anwendungen auf der Microsoft Entra-Plattform ist möglich. Dabei können grundlegende SAML-Einstellungen, Anspruchskonfigurationen und Gruppenzuweisungen vorgenommen werden.
Hinweis
Die AD FS-Anwendungsmigration unterstützt nur SAML-basierte Anwendungen. Sie unterstützt keine Anwendungen, die Protokolle wie OpenID Connect, WS-Fed und OAuth 2.0 verwenden. Wenn Sie Anwendungen migrieren möchten, die diese Protokolle verwenden, lesen Sie Verwenden des AD FS-Anwendungsaktivitätsberichts, um die Anwendungen zu ermitteln, die Sie migrieren möchten. Nachdem Sie die Apps ermittelt haben, die Sie migrieren möchten, können Sie sie manuell in Microsoft Entra ID konfigurieren. Weitere Informationen zum Einstieg in die manuelle Migration finden Sie unter Migrieren und Testen Ihrer Anwendung.
AD FS-Anwendungsmigrationsstatus
Die Microsoft Entra Connect- und Microsoft Entra Connect Health-Agents für AD FS lesen Ihre Konfigurationen für lokale Anwendungen der vertrauenden Seite und Anmeldeüberwachungsprotokolle. Diese Daten zu jeder AD FS-Anwendung werden analysiert, um festzustellen, ob sie wie gewünscht migriert werden kann oder ob eine zusätzliche Überprüfung erforderlich ist. Basierend auf dem Ergebnis dieser Analyse wird der Migrationsstatus für die jeweilige Anwendung bestimmt.
Anwendungen werden in folgende Migrationsstatus unterteilt:
- Bereit zum Migrieren bedeutet, dass die AD FS-Anwendungskonfiguration in Microsoft Entra ID vollständig unterstützt wird und unverändert migriert werden kann.
- Überprüfung erforderlich bedeutet, dass einige Einstellungen der Anwendung zu Microsoft Entra ID migriert werden können, Sie jedoch die Einstellungen überprüfen müssen, die nicht unverändert migriert werden können.
- Zusätzliche Schritte erforderlich bedeutet, dass Microsoft Entra ID einige Einstellungen der Anwendung nicht unterstützt, sodass die Anwendung nicht im aktuellen Zustand migriert werden kann.
AD FS-Validierungstests für die Anwendungsmigration
Die Anwendungsbereitschaft wird basierend auf den folgenden vordefinierten AD FS-Anwendungskonfigurationstests ausgewertet. Die Tests werden automatisch ausgeführt, und die Ergebnisse werden auf dem AD FS-Anwendungsmigrationsdashboard als Migrationsstatus dargestellt. Wenn die AD FS-Konfiguration nicht mit einer Microsoft Entra-Konfiguration kompatibel ist, erhalten Sie spezifische Anweisungen zur Konfiguration in Microsoft Entra ID.
AD FS Anwendungsmigration Einblicke in den aktuellen Status
Wenn die Anwendung aktualisiert wird, synchronisieren interne Agents die Updates innerhalb weniger Minuten. Ad FS-Migrationserkenntnisse sind jedoch für die Auswertung der Updates und die Berechnung eines neuen Migrationsstatus verantwortlich. Diese Aufträge werden alle 24 Stunden ausgeführt, was bedeutet, dass die Daten nur einmal pro Tag berechnet werden, um etwa 00:00 Koordinierte Weltzeit (UTC).
| Ergebnis | Bestanden/Warnung/Fehler | Beschreibung |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Für „AdditionalAuthentication“ wurde mindestens eine nicht migrierbare Regel erkannt. |
Bestanden/Warnung | Die vertrauende Seite verfügt über Regeln zum Anfordern der Multi-Faktor-Authentifizierung. Um zu Microsoft Entra ID zu wechseln, übersetzen Sie diese Regeln in Richtlinien für bedingten Zugriff. Wenn Sie eine lokale MFA verwenden, empfehlen wir, dass Sie zu Microsoft Entra-Multi-Faktor-Authentifizierung wechseln. Weitere Informationen zum bedingten Zugriff. |
| Test-ADFSRPAdditionalWSFedEndpoint Für die vertrauende Seite ist „AdditionalWSFedEndpoint“ auf „true“ festgelegt. |
Erfolgreich/Fehler | Die vertrauende Seite in AD FS unterstützt mehrere WS-Fed-Assertionsendpunkte. Derzeit unterstützt Microsoft Entra nur eine. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. |
| Test-ADFSRPAllowedAuthenticationClassReferences Für die vertrauende Seite ist „AllowedAuthenticationClassReferences“ festgelegt. |
Erfolgreich/Fehler | Mit dieser Einstellung in AD FS können Sie angeben, ob die Anwendung so konfiguriert ist, dass nur bestimmte Authentifizierungstypen zugelassen werden. Wir empfehlen, den bedingten Zugriff zu verwenden, um diese Funktion zu erzielen. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. Weitere Informationen über bedingten Zugriff. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Erfolgreich/Fehler | Mit dieser Einstellung in AD FS können Sie angeben, ob die Anwendung so konfiguriert ist, dass SSO-Cookies ignoriert werden und immer eine Authentifizierung angefordert wird. In Microsoft Entra ID können Sie die Authentifizierungssitzung mithilfe von Richtlinien für bedingten Zugriff verwalten, um ein ähnliches Verhalten zu erzielen. Weitere Informationen zum Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff. |
| Test-ADFSRPAutoUpdateEnabled Für die vertrauende Seite ist „AutoUpdateEnabled“ auf „true“ festgelegt. |
Bestanden/Warnung | Mit dieser Einstellung in AD FS können Sie angeben, ob AD FS für die automatische Aktualisierung der Anwendung basierend auf Änderungen innerhalb der Verbundmetadaten konfiguriert ist. Microsoft Entra ID unterstützt dies derzeit nicht, sollte die Migration der Anwendung zu Microsoft Entra ID jedoch nicht blockieren. |
| Test-ADFSRPClaimsProviderName Die vertrauende Seite verfügt über mehrere aktivierte ClaimsProviders-Elemente. |
Erfolgreich/Fehler | Diese Einstellung in AD FS ruft die Identitätsanbieter auf, von denen die vertrauende Seite Ansprüche akzeptiert. In Microsoft Entra ID können Sie die externe Zusammenarbeit mithilfe von Microsoft Entra B2B aktivieren. Erfahren Sie mehr über Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Erfolgreich/Fehler | Für die Anwendung sind benutzerdefinierte Delegationsautorisierungsregeln definiert. Dabei handelt es sich um ein WS-Trust-Konzept, das von Microsoft Entra ID unterstützt wird, indem moderne Authentifizierungsprotokolle wie OpenID Connect und OAuth 2.0 verwendet werden. Weitere Informationen über die Microsoft Identity Platform. |
| Test-ADFSRPImpersonationAuthorizationRules | Bestanden/Warnung | Für die Anwendung sind benutzerdefinierte Identitätswechsel-Autorisierungsregeln definiert. Dabei handelt es sich um ein WS-Trust-Konzept, das von Microsoft Entra ID unterstützt wird, indem moderne Authentifizierungsprotokolle wie OpenID Connect und OAuth 2.0 verwendet werden. Weitere Informationen über die Microsoft Identity Platform. |
| Test-ADFSRPIssuanceAuthorizationRules Für „IssuanceAuthorization“ wurde mindestens eine nicht migrierbare Regel erkannt. |
Bestanden/Warnung | Für die Anwendung sind benutzerdefinierte Ausstellungsautorisierungsregeln in AD FS definiert. Microsoft Entra ID unterstützt diese Funktionalität mit bedingtem Microsoft Entra-Zugriff. Weitere Informationen zum bedingten Zugriff. Sie können zudem den Zugriff auf eine Anwendung auf Benutzer oder Gruppen beschränken, die der Anwendung zugeordnet sind. Erfahren Sie mehr über das Zuweisen von Benutzern und Gruppen für den Zugriff auf Anwendungen. |
| Test-ADFSRPIssuanceTransformRules Für „IssuanceTransform“ wurde mindestens eine nicht migrierbare Regel erkannt. |
Bestanden/Warnung | Für die Anwendung sind benutzerdefinierte Ausstellungstransformationsregeln in AD FS definiert. Microsoft Entra ID unterstützt das Anpassen der im Token ausgestellten Ansprüche. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
| Test-ADFSRPMonitoringEnabled Für die vertrauende Seite ist „MonitoringEnabled“ auf „true“ festgelegt. |
Bestanden/Warnung | Mit dieser Einstellung in AD FS können Sie angeben, ob AD FS für die automatische Aktualisierung der Anwendung basierend auf Änderungen innerhalb der Verbundmetadaten konfiguriert ist. Microsoft Entra unterstützt dies derzeit nicht, sollte die Migration der Anwendung zu Microsoft Entra ID jedoch nicht blockieren. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Bestanden/Warnung | AD FS lässt eine Zeitabweichung auf Grundlage der „NotBefore“- und „NotOnOrAfter“-Zeiten im SAML-Token zu. Microsoft Entra ID behandelt dies standardmäßig automatisch. |
| Test-ADFSRPRequestMFAFromClaimsProviders Für die vertrauende Seite ist „RequestMFAFromClaimsProviders“ auf „true“ festgelegt. |
Bestanden/Warnung | Diese Einstellung in AD FS bestimmt das Verhalten für MFA, wenn der Benutzer von einem anderen Anspruchsanbieter stammt. In Microsoft Entra ID können Sie die externe Zusammenarbeit mithilfe von Microsoft Entra B2B aktivieren. Dann können Sie Richtlinien für bedingten Zugriff anwenden, um den Gastzugriff zu schützen. Erfahren Sie mehr über Microsoft Entra-B2B und bedingten Zugriff. |
| Test-ADFSRPSignedSamlRequestsRequired Für die vertrauende Seite ist „SignedSamlRequestsRequired“ auf „true“ festgelegt. |
Erfolgreich/Fehler | Die Anwendung wird in AD FS zur Überprüfung der Signatur in der SAML-Anforderung konfiguriert. Microsoft Entra ID akzeptiert eine signierte SAML-Anforderung, doch die Signatur wird nicht überprüft. Microsoft Entra ID verfügt über verschiedene Methoden zum Schutz vor böswilligen Aufrufen. Beispielsweise verwendet Microsoft Entra ID die in der Anwendung konfigurierten Antwort-URLs, um die SAML-Anforderung zu überprüfen. Microsoft Entra ID sendet ein Token nur an für die Anwendung konfigurierte Antwort-URLs. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Bestanden/Warnung | Die Anwendung ist für eine benutzerdefinierte Tokenlebensdauer konfiguriert. Der AD FS-Standardwert ist eine Stunde. Microsoft Entra ID unterstützt diese Funktion mit bedingtem-Zugriff. Weitere Informationen finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff. |
| Die vertrauende Seite ist so konfiguriert, dass Ansprüche verschlüsselt werden. Dies wird von Microsoft Entra ID unterstützt. | Erfolgreich | Mit Microsoft Entra ID können Sie das an die Anwendung gesendete Token verschlüsseln. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung. |
| EncryptedNameIdRequiredCheckResult | Erfolgreich/Fehler | Die Anwendung ist so konfiguriert, dass der NameID-Anspruch im SAML-Token verschlüsselt wird. Mithilfe von Microsoft Entra ID können sie das gesamte Token verschlüsseln, das an die Anwendung gesendet wird. Die Verschlüsselung bestimmter Ansprüche wird noch nicht unterstützt. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung. |